BDU:2022-07071

Опубликовано: 15 нояб. 2022

Источник: fstec

CVSS3: 4.3

CVSS2: 5

EPSS Низкий

Описание

Уязвимость изолированной среды iframe браузеров Mozilla Firefox, Firefox ESR и почтового клиента Thunderbird связана с ошибками представления информации пользовательским интерфейсом. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, проводить спуфинг-атаки

Вендор

Red Hat Inc.

ООО «РусБИТех-Астра»

Novell Inc.

Сообщество свободного программного обеспечения

АО «ИВК»

Mozilla Corp.

АО "НППКТ"

Наименование ПО

Red Hat Enterprise Linux

Astra Linux Special Edition

SUSE Linux Enterprise Server for SAP Applications

Debian GNU/Linux

Suse Linux Enterprise Server

OpenSUSE Leap

Suse Linux Enterprise Desktop

Альт 8 СП

Thunderbird

Firefox ESR

ОСОН ОСнова Оnyx

Firefox

Версия ПО

7 (Red Hat Enterprise Linux)

1.6 «Смоленск» (Astra Linux Special Edition)

8 (Red Hat Enterprise Linux)

15 (SUSE Linux Enterprise Server for SAP Applications)

15 SP1 (SUSE Linux Enterprise Server for SAP Applications)

10 (Debian GNU/Linux)

15-LTSS (Suse Linux Enterprise Server)

8.2 Extended Update Support (Red Hat Enterprise Linux)

15 SP1-BCL (Suse Linux Enterprise Server)

15 SP1-LTSS (Suse Linux Enterprise Server)

15.3 (OpenSUSE Leap)

11 (Debian GNU/Linux)

8.1 Update Services for SAP Solutions (Red Hat Enterprise Linux)

8.4 Extended Update Support (Red Hat Enterprise Linux)

1.7 (Astra Linux Special Edition)

15.4 (OpenSUSE Leap)

15 SP3 (Suse Linux Enterprise Server)

15 SP3 (SUSE Linux Enterprise Server for SAP Applications)

15 SP3 (Suse Linux Enterprise Desktop)

15 SP2 (SUSE Linux Enterprise Server for SAP Applications)

- (Альт 8 СП)

15 SP4 (Suse Linux Enterprise Server)

15 SP4 (Suse Linux Enterprise Desktop)

15 SP2-BCL (Suse Linux Enterprise Server)

15 SP4 (SUSE Linux Enterprise Server for SAP Applications)

9 (Red Hat Enterprise Linux)

15 SP2-LTSS (Suse Linux Enterprise Server)

4.7 (Astra Linux Special Edition)

до 102.5 (Thunderbird)

до 102.5 (Firefox ESR)

8.2 Telecommunications Update Service (Red Hat Enterprise Linux)

8.2 Update Services for SAP Solutions (Red Hat Enterprise Linux)

8.6 Extended Update Support (Red Hat Enterprise Linux)

до 2.7 (ОСОН ОСнова Оnyx)

до 107 (Firefox)

Тип ПО

Операционная система

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 7

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»

Red Hat Inc. Red Hat Enterprise Linux 8

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP1

Сообщество свободного программного обеспечения Debian GNU/Linux 10

Novell Inc. Suse Linux Enterprise Server 15-LTSS

Red Hat Inc. Red Hat Enterprise Linux 8.2 Extended Update Support

Novell Inc. Suse Linux Enterprise Server 15 SP1-BCL

Novell Inc. Suse Linux Enterprise Server 15 SP1-LTSS

Novell Inc. OpenSUSE Leap 15.3

Сообщество свободного программного обеспечения Debian GNU/Linux 11

Red Hat Inc. Red Hat Enterprise Linux 8.1 Update Services for SAP Solutions

Red Hat Inc. Red Hat Enterprise Linux 8.4 Extended Update Support

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7

Novell Inc. OpenSUSE Leap 15.4

Novell Inc. Suse Linux Enterprise Server 15 SP3

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP3

Novell Inc. Suse Linux Enterprise Desktop 15 SP3

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP2

АО «ИВК» Альт 8 СП -

Novell Inc. Suse Linux Enterprise Server 15 SP4

Novell Inc. Suse Linux Enterprise Desktop 15 SP4

Novell Inc. Suse Linux Enterprise Server 15 SP2-BCL

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP4

Red Hat Inc. Red Hat Enterprise Linux 9

Novell Inc. Suse Linux Enterprise Server 15 SP2-LTSS

ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7

Red Hat Inc. Red Hat Enterprise Linux 8.2 Telecommunications Update Service

Red Hat Inc. Red Hat Enterprise Linux 8.2 Update Services for SAP Solutions

Red Hat Inc. Red Hat Enterprise Linux 8.6 Extended Update Support

АО "НППКТ" ОСОН ОСнова Оnyx до 2.7

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)

Средний уровень опасности (базовая оценка CVSS 3.0 составляет 4,3)

Возможные меры по устранению уязвимости

Использование рекомендаций:

Для программных продуктов Mozilla Corp.:

https://www.mozilla.org/en-US/security/advisories/mfsa2022-47/#CVE-2022-45420

https://www.mozilla.org/en-US/security/advisories/mfsa2022-48/#CVE-2022-45420

https://www.mozilla.org/en-US/security/advisories/mfsa2022-49/#CVE-2022-45420

Для Debian GNU/Linux:

https://security-tracker.debian.org/tracker/CVE-2022-45420

Для программных продуктов Red Hat Inc.:

https://access.redhat.com/security/cve/cve-2022-45420

Для программных продуктов Novell Inc.:

https://www.suse.com/security/cve/CVE-2022-45420.html

Для ОС Astra Linux:

использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20221220SE16

Для ОС Astra Linux Special Edition 1.7:

использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1221SE17MD

Для ОСОН ОСнова Оnyx (версия 2.7):

Обновление программного обеспечения thunderbird до версии 1:102.6.0+repack-1~deb10u1.osnova1

Обновление программного обеспечения firefox-esr до версии 102.7.0esr+repack-1~deb10u1.osnova1

Для ОС Astra Linux Special Edition 4.7 для архитектуры ARM:

использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0131SE47MD

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для Astra Linux 1.6 «Смоленск»:

- обновить пакет thunderbird до 1:115.5.0+build1-0ubuntu1+ci202311280951+astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16

- обновить пакет firefox до 107.0+build2-0ubuntu0.18.04.1+ci202211242243+astra11 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2022-45420
CVE

EPSS

Процентиль: 27%

0.00092

Низкий

4.3 Medium

CVSS3

5 Medium

CVSS2

Связанные уязвимости

CVE-2022-45420

CVSS3: 6.5

ubuntu

больше 2 лет назад

Use tables inside of an iframe, an attacker could have caused iframe contents to be rendered outside the boundaries of the iframe, resulting in potential user confusion or spoofing attacks. This vulnerability affects Firefox ESR < 102.5, Thunderbird < 102.5, and Firefox < 107.

CVE-2022-45420

CVSS3: 4.3

redhat

больше 2 лет назад

CVE-2022-45420

CVSS3: 6.5

nvd

больше 2 лет назад

CVE-2022-45420

CVSS3: 6.5

debian

больше 2 лет назад

Use tables inside of an iframe, an attacker could have caused iframe c ...

GHSA-6pf3-q3cx-w87c

CVSS3: 6.5

github

больше 2 лет назад

EPSS

Процентиль: 27%

0.00092

Низкий

4.3 Medium

CVSS3

5 Medium

CVSS2